フィッシングリンクの偽装に使われるオープンリダイレクト

Trustwaveのリサーチャーは、セキュリティフィルターによる検出を回避するためにオープンリダイレクトを使用するフィッシング攻撃が増加していることを報告しています。

オープンリダイレクトとは、信頼できるWebサイトから、悪意のある別のサイトにユーザーを誘導できるある種の脆弱性です。このリサーチャーは、「hxxps://goodsite[.]com/redir[.]php?url=hxxp://badsite[.]com」というURLの例を使用して、このプロセスを説明しています。

• ユーザーが最初にこのURLをクリックすると、信頼できる正規のWebサイトである「goodsite[.]com」ドメインにアクセスします。
• 次に、リダイレクトが開始されます。このURLには、指定された外部URL「badsite[.]com」へのリダイレクトを指示するクエリパラメータ「url=http://badsite[.]com」が含まれています。
• URL検証が欠如しているため、「goodsite[.]com」は、URLパラメータで指定された外部URLが正当で安全な宛先かどうかを検証しません。
• 検証機能がないため、ユーザーは自動的にgoodsite[.]comから安全ではないhxxp://badsite[.]comにリダイレクトされます。このbadsite[.]comサイトは攻撃者が管理しており、有害である恐れがあります。

Trustwaveは過去数か月間、オープンリダイレクトを悪用するフィッシング攻撃が著しく増加していることを確認しています。

Trustwaveのリサーチャーは、次のように述べています。「2023年第3四半期から第4四半期にかけて、Microsoftや、DocuSignやAdobe Signになりすましたメール本文に見せかけた画像をメールに貼り付けた攻撃において、オープンリダイレクトの手法によるフィッシングキャンペーンが増加しています。画像ベースの攻撃は、文字通り、悪意のあるリンクを配信するために画像を使用しており、テキストベースのセキュリティフィルターを回避します。画像ベースのフィッシング攻撃にオープンリダイレクトの手法が追加されると、標準的なセキュリティシステムではこれらのフィッシング詐欺を検出して防止することが難しくなります。」

Trustwaveのリサーチャーは、攻撃者がソーシャルエンジニアリングの新しい手口を常に改良しており、セキュリティテクノロジーを回避する新しい方法を模索しているとも述べています。

Trustwaveは、次のように述べています。「サイバー攻撃者は、オープンリダイレクトや悪意のあるリダイレクトを可能にするために信頼されるプラットフォームを悪用するような高度な戦術を活用し、その手法を今後も進化させていくでしょう。これらの攻撃者の主な目的は、信頼できるプラットフォームの評判を利用し、複雑なリダイレクトチェーンなどのフィッシング分析への対抗策を採用して、検出メカニズムを回避して、ユーザーの信頼を悪用することです。これらの問題は、サイバー脅威が絶え間なく進化し、新たな課題を生み出しており、サイバー脅威に対して継続的に警戒する必要があることを示しています。」

KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。

詳細については、Trustwaveの記事を参照してください。

原典：Stu Sjouwerman著 2024年1月30日発信 https://blog.knowbe4.com/open-redirects-used-to-disguise-phishing-links